代理服务器Squid与Shadowsocks的安全配置指南
摘要:# Squid和Shadowsocks,别光顾着用,安全配置才是真功夫 我前两天帮一个朋友排查问题,他的服务器明明挂了Squid代理,结果流量还是被扫得一清二楚。一查配置,好家伙,默认设置基本没动,端口大开着,访问控制列表(ACL)就写了两行——这跟把服…
Squid和Shadowsocks,别光顾着用,安全配置才是真功夫
我前两天帮一个朋友排查问题,他的服务器明明挂了Squid代理,结果流量还是被扫得一清二楚。一查配置,好家伙,默认设置基本没动,端口大开着,访问控制列表(ACL)就写了两行——这跟把服务器密码贴公告栏上有啥区别?
这种场景你应该不陌生吧?很多人把Squid、Shadowsocks这类代理工具搭起来,能通,就以为万事大吉了。说白了,这就像你家装了防盗门却忘了锁,甚至门都没关严实。
今天咱不聊怎么安装(教程满大街都是),就掰扯掰扯那些容易被忽略,但真要命的安全配置细节。毕竟在现在这环境,代理服务器早就是扫描器的重点关照对象了。
Squid:别让这个“老管家”变成内鬼
Squid是个经典的反向代理和缓存服务器,资格老,但也意味着默认配置可能有点“过于坦诚”。
第一道防线:监听端口别乱开
默认安装完,Squid往往监听在3128端口。这几乎成了“此地有代理”的招牌。第一步,改它。
# 在 squid.conf 里找到 http_port
http_port 你的自定义端口号比如改成需要更高权限的端口(如8080、8888等),或者直接绑定到内网IP,只让内部服务调用。千万别用默认的3128对外,那简直是给自动化攻击脚本发请柬。
ACL(访问控制列表)不是摆设
很多配置教程就教你开个ACL允许本地网络,然后呢?没了。这远远不够。
你得想清楚:谁真正需要用这个代理?是全体办公室IP?还是某个运维网段?把它写细。
# 举个例子,别照抄
acl office_network src 192.168.1.0/24
acl dev_team src 10.0.0.10-10.0.0.20
acl admin_ip src 你的公网静态IP
http_access allow office_network
http_access allow dev_team
http_access allow admin_ip
http_access deny all # 这句至关重要!默认拒绝一切其他访问。最后那条 deny all 一定得加上,不然前面允许的规则就白写了。我见过不止一个配置,光写了allow,忘了deny all,结果全网段裸奔。
关掉那些“信息泄露”的HTTP头
Squid默认会在响应头里告诉别人自己的版本号(比如 Server: squid/4.10)。这在攻击者眼里,就是一份精准的漏洞利用指南。
# 在 squid.conf 里加上
httpd_suppress_version_string on
request_header_access Via deny all
request_header_access X-Forwarded-For deny all # 根据业务需要,谨慎设置把 Via 和 X-Forwarded-For 这些可能暴露内部架构信息的头也掐掉,能藏一点是一点。
日志,别只往/var/log一扔了事
Squid的访问日志会记录所有经过它的请求——包括源IP、目标URL。如果服务器被入侵,这些日志就是一本用户行为“账簿”。
- 定期轮转和清理:别让日志文件无限膨胀。
- 考虑加密或脱敏:如果合规要求高,看看能不能对日志中的敏感字段(如用户名、特定URL参数)进行脱敏处理。
- 日志别和Squid放一台机:有条件的话,用rsyslog或Logstash把日志实时推到另一台安全的日志服务器上。这叫“鸡蛋别放一个篮子里”。
Shadowsocks:轻便≠可以随便
Shadowsocks(简称SS)以其轻量和抗干扰能力强著称,但它的安全很大程度上取决于你的配置和用法。很多人就输在“图省事”上。
加密方式:别选“凉了”的算法
这是重中之重。SS的安全性核心就在加密算法上。
- 绝对不要用:
rc4-md5,table这些。它们要么存在已知漏洞,要么强度太弱,形同虚设。 - 目前推荐的选择:
aes-256-gcm,chacha20-ietf-poly1305。这两种都支持AEAD(认证加密),能同时保证机密性和完整性,是目前的主流和推荐选择。 - 在服务端和客户端的配置里,务必保持一致。别服务端用aes-256-gcm,客户端还连着rc4-md5,那防护直接归零。
端口与密码:告别“123456”
和Squid一样,别用默认端口8388。改成一个不常见的高位端口。 密码(password)或更推荐的密码插件(plugin),必须使用强密码。别用生日、简单单词。用密码管理器生成一串随机、长且复杂的密码。“密码学安全”的前提是,你的密钥本身不是猜出来的。
插件(Plugin)与混淆(Obfs):锦上添花,但非根本
v2ray-plugin, simple-obfs 这类插件能帮你把SS流量伪装成正常的HTTPS或HTTP流量,对于绕过某些基于协议特征的干扰或检测很有用。
但你要明白:它的主要作用是“混淆”和“抗干扰”,不是“加密”。核心安全依然靠的是上面说的强加密算法。别本末倒置,装了个混淆插件就觉得高枕无忧了。
客户端安全:链条最弱的一环
服务器配置得再铁桶一块,客户端出事全完蛋。
- 软件来源:只从官方GitHub仓库或可信渠道下载客户端。别用网上来路不明的“破解版”、“高速版”,那里面埋点后门太容易了。
- 系统环境:确保你运行客户端的电脑或手机本身没有恶意软件。否则你的连接密码、访问记录可能被一览无余。
- 分享谨慎:别轻易把配置二维码或JSON文件发来发去。尤其是服务器IP和密码,一旦泄露,你的服务器就可能变成别人的“公共代理”。
通用心法:代理服务器不是隐身斗篷
最后说几句大实话,很多所谓的安全方案,PPT很猛,真用的时候观念就露馅了。
- 源站保护:用了Squid做反向代理,不代表你后端的Nginx或Apache就可以裸奔了。至少把后端服务的监听端口限制在只接受来自Squid服务器IP的访问。这叫纵深防御。
- 系统层面别忘:配置再好,服务器系统本身漏洞百出也白搭。定期更新系统、使用防火墙(iptables/firewalld)限制除了你指定端口之外的所有入站连接,这是基本功。
- 监控与告警:在服务器上装个简单的监控(比如用
vnstat看流量,fail2ban防暴力破解),发现异常连接或流量暴增能及时告警。别等账单来了或者服务瘫了才发现。 - 别迷信单一工具:Squid和Shadowsocks是工具,用在合适的位置。企业内部缓存加速、访问控制用Squid;需要穿透某些网络环境,用Shadowsocks。没有哪个是银弹。
行了,配置指南说到底就是一层窗户纸,但安全观念是堵墙。如果你的代理服务器还处于“能通就行”的状态,你心里其实已经有答案了——赶紧按上面的思路过一遍配置吧。
检查完,改好了,睡个踏实觉,比啥都强。